MEDIUMCVE-2026-5838CVSS 4.7

PHPGurukul News Portal Project add-subadmins.php sql インジェクション

プラットフォーム

php

コンポーネント

phpgurukul-news-portal-project

修正版

4.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

PHPGurukul News Portal Project のバージョン 4.1 に、SQLインジェクションの脆弱性が存在します。この脆弱性は、/admin/add-subadmins.php ファイルの sadminusername 引数に対する悪意のある操作によって引き起こされ、攻撃者はデータベースに不正にアクセスしたり、データを操作したりする可能性があります。影響を受けるバージョンは 4.1 であり、現時点では公式なパッチは公開されていません。

影響と攻撃シナリオ

PHPGurukul News Portal Project 4.1において、CVE-2026-5838として分類されるSQLインジェクションの脆弱性が特定されました。この脆弱性は、ファイル/admin/add-subadmins.phpに存在し、sadminusername引数の操作によって引き起こされます。リモートの攻撃者はこの脆弱性を悪用して、悪意のあるSQLコードを挿入し、データベースの機密性と整合性を損なう可能性があります。機密情報の漏洩、データの改ざん、さらにはシステムの乗っ取りといった結果が考えられます。修正プログラムが提供されていないため、リスクは悪化し、暴露を軽減するための迅速な対応が必要です。脆弱性の公的開示は、攻撃の可能性を高めます。

悪用の状況

PHPGurukul News Portal Project 4.1のCVE-2026-5838脆弱性は、リモートの攻撃者が/admin/add-subadmins.phpファイル内のSQLインジェクションを、sadminusernameパラメータを操作することによって悪用することを可能にします。攻撃者は、このパラメータ内に悪意のあるSQLコードを含む特別に作成されたHTTPリクエストを送信できます。適切な検証が不十分なため、このSQLコードはデータベースに対して直接実行され、攻撃者がデータにアクセス、変更、または削除できるようになります。脆弱性の公的開示は、悪用ツールと技術がすでに利用可能になっていることを意味し、攻撃のリスクを大幅に高めます。公式パッチがないことは、管理者がシステムを保護するために積極的な措置を講じる必要があることを意味します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントphpgurukul-news-portal-project

ベンダーPHPGurukul

影響範囲修正版

4.1 – 4.14.1.1

弱点分類 (CWE)

CWE-89 CWE-74

タイムライン

予約済み2026-04-08
公開日2026-04-09
EPSS 更新日2026-04-16

未パッチ — 公開から45日経過

緩和策と回避策

CVE-2026-5838に対してPHPGurukul News Portal Project 4.1に公式な修正プログラムが提供されていないため、直ちに予防措置を講じることを強くお勧めします。/admin/add-subadmins.php機能を一時的に無効にすることが最も迅速な解決策です。SQLインジェクションの脆弱性を特定して修正するために、ソースコードを徹底的にレビューすることが不可欠です。特にsadminusernameパラメータのすべてのユーザー入力を厳密に検証およびサニタイズする必要があります。データベースとのやり取りにプリペアドステートメントまたはストアドプロシージャを使用することで、SQLインジェクション攻撃を防ぐことができます。サーバーログを積極的に監視して、潜在的な悪用試行を検出し、対応することが重要です。利用可能な場合は、プロジェクトのより安全なバージョンへのアップグレードを検討することが、最も推奨される長期的な解決策です。

修正方法翻訳中…

Actualice el proyecto PHPGurukul News Portal Project a una versión corregida.  Verifique y sanee las entradas del usuario en el archivo /admin/add-subadmins.php para prevenir inyecciones SQL.  Implemente validación y escape adecuados para los datos proporcionados por el usuario antes de utilizarlos en consultas SQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5838 とは何ですか？（PHPGurukul News Portal Project の SQL Injection）

SQLインジェクションは、攻撃者がアプリケーションに悪意のあるSQLコードを挿入して、データベースにアクセスまたは操作することを可能にする攻撃の一種です。

PHPGurukul News Portal Project の CVE-2026-5838 による影響を受けていますか？

CVE-2026-5838は、この特定の脆弱性を追跡および参照しやすくするために使用される一意の識別子です。

PHPGurukul News Portal Project の CVE-2026-5838 を修正するにはどうすればよいですか？

PHPGurukul News Portal Project 4.1を使用している場合は、脆弱である可能性が高いです。セキュリティ監査を実行するか、脆弱性スキャンツールを使用することで、暴露を確認できます。

CVE-2026-5838 は積極的に悪用されていますか？

脆弱な機能を一時的に無効にすることが、即時の軽減策です。サーバーログを監視することが重要です。

CVE-2026-5838 に関する PHPGurukul News Portal Project の公式アドバイザリはどこで確認できますか？

より高いセキュリティとサポートを提供する可能性のある、多くの代替コンテンツ管理システム（CMS）があります。

NextGuard

脆弱性

これらのメトリクスの意味は？

Attack Vector: ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity: 低 — 特別な条件不要。安定して悪用可能。
Privileges Required: 高 — 管理者または特権アカウントが必要。
User Interaction: なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope: 変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality: 低 — 一部データへの部分的アクセス。
Integrity: 低 — 限定的な範囲でデータ変更可能。
Availability: 低 — 部分的または断続的なサービス拒否。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン CVEを検索